Klarname, Anschrift, E-Mail-Adresse
Cyberangriff auf EasyPark: Kundendaten betroffen
EasyPark, einer der größten Anbieter digitaler Parkschein-Abrechnungen, informiert über einen Cyberangriff auf die eigenen Systeme, der vor knapp zwei Wochen entdeckt wurde.
Laut EasyPark soll der Angriff zwar nur zu einer zur „Verletzung von nicht sensiblen Kundendaten“ geführt haben, allerdings dürfte die Bewertung des Anbieters, welche Informationen als „sensibel“ gelten und welche nicht, wohl nicht von allen Kunden geteilt werden.
EasyPark beruft sich auf die Vorgaben der Europäischen Kommission zur Einstufung von personenbezogenen Daten, die ihrerseits vor allem Gesundheitsdaten, Daten zum Sexualleben, genetische Daten, politische Einstellung, ethische Herkunft und Gewerkschaftzugehörigkeit als „sensibel“ definiert.
Klarname, Anschrift, E-Mail-Adresse
Im Rahmen des Cyberangriffs sollen die Angreifer jedoch „nur“ Zugriff auf Anschrift, E-Mail-Adresse, Klarname und Telefonnummer gehabt haben, auch einige Teilangaben von IBAN, Kredit- und Debitkartennummern sollen abgegriffen worden sein.
Zum Cyberangriff hat der Anbieter ein FAQ geschaltet und sich förmlich bei seinen Kunden entschuldigt. Inzwischen habe man die Behörden informiert und damit begonnen, betroffene Anwender über ein eingeblendetes Banner in der mobilen Applikation des Dienstes auf den Daten-Abgriff hinzuweisen.
Es tut uns leid. Die EasyPark Group nimmt den Schutz Ihrer Daten sehr ernst. Wir sind stets bestrebt, die bestmögliche Erfahrung mit unseren Diensten für Sie bereitzustellen. Die Erfahrung einer Datenschutzverletzung ist sicherlich für jeden von uns beunruhigend. Wir bedauern diesen Vorfall zutiefst und werden weiterhin jeden Tag hart daran arbeiten, Ihr Vertrauen zu gewinnen.
Nicht betroffen sollen Parkdaten, Standortdaten und Informationen zu Fahrzeugregistrierungen sein. Kunden sind dazu aufgerufen, aktuell besondere Vorsicht vor möglichen Phishing-Angriffen walten zu lassen, haben darüber hinaus aber wenig Möglichkeit, selbst aktiv zu werden. Adressen und Namen lassen sich, anders als etwa hinterlegte Passwörter, ja leider nicht ohne Weiteres ändern.
EasyPark hat seinen Hauptsitz in Stockholm und überlässt die Ermittlungen hier vor allem der schwedischen Datenschutzaufsicht. Die zuständigen Datenschutzbehörden wurden durch das Unternehmen bereits informiert.
Ich hatte meinen Account mit „Apple anmelden“ erstellt und immer mit Apple Pay bezahlt in der App. Dann dürften die kaum Daten von mir haben.
+1
Leider noch immer keine E-Mail von EasyPark direkt
Hier das gleiche. Erstaunlich das viele Apps jedes Mist vom Marketing über die Apps und Push raus hauen können.
Aber wichtige Infos zu einem Hack, da sind sie oft stumm und schicken einem nichts.
Erst durch solche Artikel wird man drauf aufmerksam.
Die haben per sms informiert
Dafür aber einen Brief – allerdings von der Toyota-Bank (obwohl ich da nix aktives habe) – die wurden auch gehackt – inkl. Abgriff sensibler Kundendaten (z.B. auch die Kto.-Nr) … Daten sind anscheinend nirgends sicher.
Keine SMS erhalten
Daten sind definitiv nirgends sicher.
Auch zuhause nicht
Also hier gabs auch bei beiden Konten ne sms. Habt ihr eventuell alle Kontaktaufnahmen abgewählt? Essypark geht hier echt proaktiv und transparent vor, so wünsch ich mir das auch von anderen
Auch bei meiner Frau per SMS. Ich habe keine Nachricht bekommen, vermutlich somit auch keine Daten vom mit abgegriffen.
Mein Account auch sehr alt. Der meiner Frau vom Sommer diesen Jahres.
Ärgerlich aber vorbildliche Kommunikation durch EasyPay. Die Booking Kommunikation zwischen Kunde und einigen Hotels ist seit April 23 gehackt. Alle Kunden und exakte Buchungsdaten sind abgeflossen. Erst Anfang Dezember erhielt ich eine Nachricht man arbeite an einer Kompensation. Seit dem hab ich nie mehr was von Booking gehört. Für mich sind die gestorben.
Das habe ich auch. Allerdings haben sie meine Telefonnummer. Und seit zwei Wochen bekomme ich verstärkt iMessages, dass ich mich um irgendwelche Paketlieferungen kümmern soll. Ein Schelm der Böses dabei denkt.
Die bekommt aber gerade so gut wie jeder.
Ne das muss schon daran liegen, oder am iMessage Hack… was anderes kann das nicht sein! /s
Doch Dickelson, das kann an unglaublich vielen anderen Dingen genauso liegen.
Josi, weißt Du, was das /s am Ende einer Zeile bedeutet?
Na super
Dann werde ich das in Zukunft nicht mehr nutzen oder nur noch per Apple anmelden
Da brauchst du dir jetzt eher keine Sorgen mehr machen, da ist jetzt voller Fokus auf Cybersecurity. Viel interessanter sind doch andere Portale, bei denen du alle persönlichen Daten liegen hast.
Ich habe Paypal hinterlegt. Wie sieht es damit aus?
Schlecht.
Bei der unzureichenden Kommunikation, bleibt völlig nebulös welche Teile der Bankverbindung oder Kreditkartennummer abhanden gekommen sind.
Auf die ersten Stellen pkann man z.B. getrost verzichten wenn man den KK Herausgeber oder die kontoführende Bank kennt.
Schlechter
Am schlechtesten.
plottwist: grandios!
Ich habe sicherheitshalber mein Kennwort bei Paypal geändert. Sicher ist sicher.
Woher sollen die denn dein Passwort haben? Das kennt der Zahlungsempfänger nie.
Ich würde auch noch sicherheitshalber dein Türschloss auswechseln, da sie nun vlt deine Adresse kennen.
Immer dieses verlogene „Sicherheit ist unsere Priorität“ etc Gesülze. Wenn dies ansatzweise so wäre, gäbe es keine solchen Vorfälle.
Das sind ja keine hochspezialisierten Angriffe auf Geheimdienst-Niveau. Da wurde einfach nach leicht ausnutzbaren Schwachstellen gesucht, für welche idR Wochen bis Monate vorher schon Patches bereit standen. Das nenne ich nicht „Angriff“ sondern einfach nur aufgeben, was offen auf dem Boden liegt. Zusätzlich wurden durch diese Firmen meist Daten gesammelt und viel zu lange aufgehoben, ohne sie zu benötigen. Und dann idR auch noch weitere Fehler bei der Systemarchitektur, Konfiguration und beim Monitoring gemacht. Und gerne nur billige unterqualifizierte Leute eingestellt, um die Systeme zu bauen und zu betreiben.
Warum? Weil es teurer ist, es richtig zu machen. Alles also eine bewusste und mutwillige Entscheidung des Managements. Alternative Erklärung: völlige Indifferenz und Inkompetenz.
Nur um ein paar Euro zu sparen, und der Vorfall ist das die DIREKTE Folge davon.
Soviel dazu, was diesen Firmen wichtig ist. Die Sicherheit der Kunden ist es GARANTIERT nicht.
Korrekt!
Wow – harter Tobak!
Ich gehe davon aus, dass der Kommentar von IT-Security-Spezialisten stammt? Ansonsten tut es mir leid – aber um mehr als polemisches Gestammel handelt es sich hier nicht.
Heutzutage ist es nicht die Frage, OB man Opfer einer Cyberattacke wird, sondern lediglich WANN.
Wir investieren jährlich siebenstellig in die Security – wir müssen trotzdem jederzeit darauf gefasst sein, dass es uns erwischt. Wir können nur stets versuchen, die Hürden immer noch höher zu legen. Alles andere wäre bei der aktuellen und sich immer weiter zuspitzenden Bedrohungslage unseriös.
Deshalb können wir durchaus behaupten, alles technisch und organisatorisch mögliche für Datenschutz und Datenintegrität zu tun, 100% Sicherheit gibt es aber nirgends.
Herbert hat absolut Recht.
Ich arbeite in der IT eines Konzerns und eines wissen wir genau: Wir werden irgendwann Opfer und können es den Angreifern nur schwerer machen und dann kommt es später oder weniger schlimm.
Die ganzen Anschuldigungen zeigen wieder einmal das durchschnittliche Wutverhalten eines abgehängten Schwurblers auf.
Naja wer Windows, Active Directory und Outlook einsetzt bei dem ist es immer nur eine Frage der Zeit bis er gehackt wird. Der Kollege oben hat recht, wenn die Architektur sauber gebaut wird dann lassen sich solche Dinge verhindern. Aber viele fahren gerne Compliance und Security Theater um sich die Hände reinzuwachsen.
Bin IT Soezialist, und das stimmt exakt. Das unten drunter ist einfach nur gesülze. Eine Cyberattacken passiert Stündlich. Die Frage ist nur ob man Opfer wird. Wer meint zwangsläufig Opfer zu werden, hat den Job verfehlt.
Hallo Uwe,
ich freue mich, dass du so viel schlauer als alle unseren großen internationalen Partner in Compliance und Security bist!
Wir geben ebenfalls 7stellig dafür aus und eigentlich bräuchten wir nur dich und wären zu 100% geschützt!
Wann kannst du anfangen?
Uwe, Du bist auf jeden Fall kein IT-Security-Spezialist. Es gibt keine sicheren Systeme, und alle tatsächlichen Experten wissen, dass ausnahmslos jede Firma gefährdet ist. Und für die Oberschlaumeier, die glauben, dass man das nur „vernünftig“ aufsetzen muss und einfach keine Produkte von Microsoft einzusetzen braucht: Ihr lebt in einer Traumwelt und habt keine Ahnung. Es ist unmöglich, wirklich sichere Systeme zu betreiben. Ihr seid nur noch nicht attraktiv genug, um ein Ziel zu sein.
Die Kommunikation von EasyPark ist eine absolute Zumutung.
Am 10.12. wurde das Ausspähen der Daten bekannt. Ich als Kunde wurde erst 10 Tage später informiert. UNFASSBAR!
Und das sie es am 10.12. bemerkten, heißt ja nicht, dass der Einbruch in ihre Systeme unmittelbar vorher erfolgte. Wer weiß wie lange er unbemerkt blieb.
Lies meinen Kommentar weiter unten. Ich bin mit der Kommunikation sehr zufrieden denn zuerst muss Ursache und Fehleranalyse gemacht werden bevor man fachkundig kommunizieren kann.
Banner und SMS…Gewonnen….
+1
Habe ebenfalls Paypal hinterlegt, aber denke auch das hier nichts passieren wird!
Ärgerlich. Muss ich wohl nun umziehen und mich umbenennen lol
Sofort die App gelöscht
Naja, wenn Du schon angemeldet warst und darüber ein Parkticket bezahlt hast: Verständliche Reaktion, nützt aber wg. Datenklau nix. Daten sind draussen, wenn Du betroffen bist. Du generierst nur keinen Umsatz beim Anbieter mehr.
Ist jetzt eh zu spät
Auto abmelden, Führerschein verbrennen und Daheim einschließen noch
Gesicht per plastischer OP ändern nicht vergessen!
Ist ärgerlich aber das hilft auch nicht viel. Die Daten sind ja schon weg.
Erscheint seit ca einer Woche als Banner wenn man in die App geht. Wer keine mail bekommt der/die ist nicht betroffen.
Mein Banner war einmalig ca. 0,5 Sekunden zu sehen. Toll.
Account gelöscht, App deinstalliert. Wer so madig informiert verdient an mir nichts.
Habe jetzt Parkster installiert. Wenigstens keine Gebühren.
Dann Zahl mal mit Parkster an einem EasyPark-Parkplatz…
So sehe ich das auch. Das Vertrauen ist weg. Bin jetzt auch bei Parkster.
Habe SMS bekommen….Insofern kommt nur nur Email.
Nur – nicht
Ich habe weder Banner noch Email noch SMS. Dann hatte ich Glück diesmal?
BlueBrixx hat gestern auch per email mich drüber informiert
Habe mal in der App unter „Einstellungen“ geguckt. Bei mir steht bis auf die HandyNr. nichts in den Kontaktdaten – kein Name, Adresse etc. Kennzeichen wurde ja nicht abgephished… Zahlart ist ApplePay – Wisst ihr, ob da die E-Mail Adresse mitübermittelt wird und somit auch „erbeutet“ wurde?
Musst du fragen, kannst aber von ausgehen.
Zweistufige Anmeldung bei Paypal dürfte aber Missbrauch verhindern.
Tja so ein Mist!!!! Jetzt haben die meine Handynummer. Zum Glück habe weder Name noch Adresse und auch keine Zahlungsdaten da immer mit Apple Pay bezahlt wurde
Dachte ich auch, aber wird bei AP nicht auch deine email adresse angezeigt!? Somit haben sie deine Handy Nr und email adresse. Wenn man in anderen erbeuteten Daten im darknet sucht, steht da bestimmt auch deine email adresse mit deinem echten Namen und evtl. deiner adresse… Somit hätte man alles um richtig viel Schabernak zu treiben. Schöne Schei…
„Die EasyPark Group nimmt den Schutz Ihrer Daten sehr ernst“
Das wäre die erste Parkautomaten-App die keine Profile erstellt.
Interessant, dass die die Daten als nicht sensibel einstufen. Frag mich was bei denen dann sensibel ist.
Da müssen die nichts selbst einstufen, das ist in der DSGVO bzw. EU-Datenschutzgrundverordnung explizit geregelt.
Die Einstufung erfolgt durch die DSGVO. Schau mal in Artikel 9 DSGVO, da findest Du die Liste, die auch im Text oben aufgezählt wird.
Wir sagen wollen nichts sensibles wurde abgegriffen und gleichzeitig wurde fast alles sensible abgegriffen. Lappenverein.
Laut EasyPark soll der Angriff zwar nur zu einer zur „Verletzung von nicht sensiblen Kundendaten“ geführt haben, allerdings dürfte die Bewertung des Anbieters, welche Informationen als „sensibel“ gelten und welche nicht, wohl nicht von allen Kunden geteilt werden.
„Im Rahmen des Cyberangriffs sollen die Angreifer jedoch „nur“ Zugriff auf Anschrift, E-Mail-Adresse, Klarname und Telefonnummer gehabt haben, auch einige Teilangaben von IBAN, Kredit- und Debitkartennummern sollen abgegriffen worden sein.“
Es geht um Klarnamen, Adressen und Bankdaten! Welche Daten sollen denn bitte noch sensibler sein???
Sind aber gemäß der DSGVO Definition keine sensiblen, sondern lediglich personenbezogene Daten.
Die Länge
Bei mir kommt kein Banner in der App
ich frage mich immer, was ein Cyberangriff eigentlich ist. Eine nette Umschreibung von schlecht geschultem Personal, dass auf phishing herein fällt?
Oder schwache Passwörter oder nicht geschützte Ports oder oder oder. Gibt zahlreiche Wege so ein System zu überlisten.
Windows + Active Directory + Outlook und schlecht gepatchte Software.
Ich benutze wenn es geht nur noch mit Apple anmelden, eine Email Wegwerfadresse von Apple und Apple Pay bzw. Paypal. Es ist echt beschissen wenn jemand deinen Namen und die IBAN Nummer hat. Das reicht schon für einen größeren Betrug aus und die Polizei bzw. Staatsanwaltschaft bekommen kaum was ermittelt. Leider alles schon erlebt.
Ja, in solchen Systemen nehme ich auch vorzugsweise ApplePay oder Paypal. Solche Firmen haben meist eher schwache Sicherheitssysteme. Hohe Sicherheit kostet Geld und Aufwand. Und wenn so eine App 5€ pro Parkvorgang aufrufen würde hätte sie kaum Benutzer.
Habe leider auch schon mehrfach dieses und letztes Jahr das Problem mit Identitätsbetrug gehabt. Irgendwo wurden Name, Adresse und IBAN gestohlen. Trotz dem ich unter der Adresse nicht mehr wohne und das Konto nicht mehr existiert, machen es die Unternehmen den Gaunern leicht und ermöglichen ihnen die Bestellung mit den falschen Daten. Kann nur jedem Raten seine IBAN nirgends zu hinterlegen und nach Möglichkeit PayPal oder Kreditkarte zu nutzen.
Bei EasyPark haben sie „zum Glück“ maximal nur eine abgelaufene KK von mir. Trotzdem doof, wenn sie KK und die dazugehörigen CVV erbeutet haben. Dann kann es lustig für die Betroffenen werden :-(
Kann man die verklagen ?
Jeder darf klagen
Rechtsschutzversicherung?
Welcher Schaden ist dir entstanden?
Kann man. Aber das wird nicht viel bringen. Erst einmal ist ja noch kein bezifferbarer Schaden entstanden. Und dann müsste dem Unternehmen oder einem Mitarbeiter auch ein Versäumnis nachgewiesen werden.
Laut DSGVO sind immaterielle Schadenersatzansprüche berechtigt, es muss also kein materieller Schaden bezifferter werden. Für den Anspruch genügt, dass die Daten missbraucht (abgegriffen) wurden und wenn der Verarbeiter sich nicht entlasten kann – er muss nämlich nachweisen, dass er alles getan hat, um den Missbraucht zu vermeiden. So ist die gesetzliche Lage, spannend wie langsam sich das in die Praxis der Rechtsprechung umsetzt.
Habe auch weder ein Banner in der App, noch SMS oder Email erhalten. Offenbar Glück gehabt ;-)
bei mir sind nur die Handynummer und e-mail adresse hinterlegt, gezahlt wird per Apple Pay, das sollte es ja in grenzen halten mit den Daten
Bei mir wurde die Rufnummer zum Login genutzt und ApplePay zum zahlen.
Des Weiteren eine unique wegwerfmail Adresse von Apple. Habe aber nie einen Namen oder Adresse hinterlegt.
Wie immer gilt, Datensparsamkeit.
Egal wo, nur so wenig wie möglich angeben und bestenfalls mit wegwerfmail arbeiten.
Auch hier!
+1
Eine Rufnummer verbergen Funktion fehlt leider noch
Alles richtig gemacht. So muss es sein.
Wird bei AP nicht die E-Mail Adresse angezeigt!?!?
Also bei mir steht bei den Kontaktdaten nichts bis aus die Handy Nummer und Paypal ist als Zahlungsart hinterlegt… Und beim Park Vorgang auswählen sieht man natürlich die KFZ Nummer
wird denn die paypal emailadresse bei easypark gespeichert oder ruft die app paypal auf und dann zieht das handy die logindaten?
meine Telefonnummer haben die jetzt, auch den paypallogin?
Ich habe überhaupt keine mail bekommen…. keine info
Warum habe ich als kunde keine Mail von denen bekommen. Oh man.
Hier sind ja wieder die krassen Helden des Internets unterwegs. Und Morgen ist Weltuntergang. Bleibt mal auf den Teppich.
Es wurde ja gesagt das WENN Informationen geklaut worden sind, es immer nur Teil Infotainmen waren. Keine Vollständigen Nummern oder Adressen. Meine Güte sind hier wichtig macher.